.png)
Les enseignements tirés de trois cyberattaques récentes indiquent une segmentation Zero Trust
Les récents incidents de cybersécurité, tels que ceux qui ont touché MITRE, l'infrastructure énergétique danoise, et la British Library nous rappellent à quel point la segmentation du réseau est importante pour réduire l'impact des violations et des attaques de rançongiciels.
Chacune de ces attaques montre comment Segmentation Zero Trust (ZTS) peut aider à se défendre de manière proactive contre les mouvements latéraux et à contenir les attaques de manière réactive lorsqu'elles se produisent inévitablement. Cela se reflète dans les rapports d'incident et de réponse des trois attaques et correspond aux directives de la dernière fiche d'information sur la cybersécurité de la NSA sur la sécurité des réseaux.
Ce que nous avons appris de 3 cyberattaques récentes
Les informations concernant des violations et des attaques de rançongiciels ne devraient pas être une surprise. Les réseaux hyperconnectés complexes d'aujourd'hui impliquent l'apparition permanente de nouvelles menaces et de failles de sécurité non découvertes. L'important, c'est que les organisations soient prêtes à limiter l'impact des attaques lorsqu'elles se produisent.
Ces trois violations dignes d'intérêt constituent d'excellentes études de cas illustrant l'importance de la segmentation et son rôle essentiel dans la préparation et la survie aux violations.
MITRE : La segmentation a arrêté le mouvement latéral
Dans le paysage actuel des menaces, les violations sont inévitables, et cela est vrai même pour des organisations comme ONGLET qui sont connus pour leur cybersécurité robuste. Cependant, MITRE était préparé à cette réalité en avril 2024 lorsqu'il a confirmé avoir été victime d'une faille dans ses réseaux de recherche et de prototypage.
Selon le compte rendu de l'incident par MITRE, l'adversaire inconnu « a effectué une reconnaissance de nos réseaux, a exploité l'un de nos réseaux privés virtuels (VPN) grâce à deux vulnérabilités zero-day d'Ivanti Connect Secure et a contourné notre authentification multifactorielle en utilisant le détournement de session ». La technologie d'identité de MITRE n'a pas suffi à empêcher l'attaque.
Au contraire, la maîtrise rapide des brèches résultant de politiques de segmentation était essentielle pour arrêter le mouvement latéral des attaquants, isoler les zones infectées et limiter les dommages potentiels :
« Nous avons isolé les systèmes et les segments du réseau concernés afin d'empêcher la propagation de l'attaque. La simple modification des règles de pare-feu de périphérie n'était pas suffisante car ce réseau était connecté aux laboratoires de l'entreprise, et un confinement efficace nécessitait de fermer l'infrastructure d'accès et d'isoler les systèmes de périphérie dans un ensemble diversifié de laboratoires. Un inventaire précis du réseau était essentiel pour y parvenir dans les meilleurs délais. »
Il est également important de noter qu'ils ont découvert que les règles de pare-feu n'étaient pas suffisantes pour arrêter les mouvements latéraux et isoler la brèche. Au contraire, la microsegmentation, dans le cadre de leur architecture Zero Trust, était essentielle pour arrêter complètement la connectivité et la communication entre les systèmes infectés et non infectés sur la base de leur rapport.
Bien que MITRE ait été victime d'une attaque, l'entreprise était prête à détecter, contenir et atténuer rapidement l'impact de la violation. Une stratégie Zero Trust axée sur la segmentation du réseau a joué un rôle clé dans leur réponse.
The British Library : la segmentation aurait limité les dommages causés par les brèches
En octobre 2023, le Bibliothèque britannique a été victime d'une attaque de rançongiciel au cours de laquelle près de 600 Go de données, y compris les données personnelles de ses utilisateurs et de son personnel, ont été copiés, exfiltrés et vendus sur le dark web. Une fois que la bibliothèque n'a pas accepté de payer la rançon, les attaquants ont également chiffré les données et les systèmes et détruit certains serveurs, empêchant ainsi la récupération et la restauration des données.
L'attaque met en lumière la nature aveugle des acteurs de la menace d'aujourd'hui : même les organisations caritatives à but non lucratif comme la British Library ne peuvent pas présumer qu'elles sont à l'abri des attaques.
Dans leur Rapport de mars 2024 lors de l'attaque, la Bibliothèque a reconnu que son architecture de sécurité, y compris un mélange de systèmes modernes et anciens, ne permettait pas d'arrêter immédiatement les mouvements latéraux ou de contenir l'attaque.
Le rapport indique qu'à l'avenir, la Bibliothèque doit mettre en œuvre de meilleures stratégies de cyberrésilience, y compris la segmentation du réseau : « Aucun périmètre ne peut être totalement sécurisé. La segmentation du réseau est donc essentielle pour limiter les dommages causés par une attaque réussie. L'ancienne topologie du réseau de la bibliothèque a permis à l'attaque de causer plus de dégâts que ce qui aurait été possible dans une conception de réseau moderne. »
Énergie danoise : le manque de visibilité et de segmentation a entraîné des perturbations généralisées
.webp)
Une attaque coordonnée et bien planifiée a compromis 22 opérateurs du secteur de l'énergie responsables de divers aspects de Infrastructure énergétique danoise en mai 2023.
D'après les informations fournies par SektorCert, une organisation à but non lucratif qui gère un réseau de capteurs pour détecter, identifier et étudier les menaces qui pèsent sur le système énergétique critique danois, de nombreux opérateurs membres ne disposaient pas d'une visibilité et d'une segmentation complètes de leurs réseaux.
SektorCert a réussi à détecter l'attaque avant qu'elle ne se propage davantage, mais ses recherches ont révélé que de nombreux opérateurs membres n'étaient pas au courant des vulnérabilités de leurs réseaux individuels, en particulier entre les systèmes informatiques et OT, ou que leurs réseaux avaient été attaqués. Grâce à une visibilité de bout en bout sur les dépendances des applications et le trafic des charges de travail, les opérateurs auraient pu détecter et corriger les failles de sécurité qui ont permis à l'attaque de se propager sur leurs réseaux individuels et sur l'infrastructure énergétique nationale.
Les attaquants ont également exploité une vulnérabilité exploitable à distance sur les pare-feux périmétriques des opérateurs comme point de départ pour leur brèche initiale. Alors que de nombreux opérateurs avaient mis en place des pare-feux sur le réseau périmètre, ils ne disposaient pas d'une segmentation efficace au sein du réseau intérieur. Cela a permis aux attaquants de se propager rapidement et discrètement sur le réseau après la violation initiale. Le rapport souligne en particulier que la segmentation est essentielle pour se préparer de manière proactive aux violations et répondre rapidement aux attaques actives.
La segmentation Zero Trust est essentielle pour préparer et répondre aux attaques
Au milieu de l'incertitude qui entoure le paysage des menaces actuel, ces trois attaques permettent de tirer une leçon claire : le rôle central de la segmentation Zero Trust (ZTS) dans le renforcement des cyberdéfenses. En fait, la nouvelle fiche d'information sur la cybersécurité de la NSA, Promouvoir la maturité Zero Trust dans l'ensemble du pilier Réseau et environnement, reconnaît le ZTS comme un élément essentiel et fondamental de toute architecture Zero Trust.
Préparez-vous de manière proactive à d'éventuelles attaques
Les approches de cybersécurité traditionnelles, centrées sur les défenses basées sur le périmètre, ne suffisent plus à sécuriser les réseaux complexes et interconnectés d'aujourd'hui. Au lieu de supposer qu'il est possible de prévenir toutes les cyberattaques, ZTS part du principe que les violations sont inévitables.
Par segmentation du réseau dans des zones isolées plus petites et en appliquant des contrôles d'accès stricts, les organisations peuvent minimiser la surface d'attaque et atténuer le risque de mouvements latéraux par des acteurs malveillants. Cette approche proactive renforce non seulement la résilience face aux cybermenaces, mais permet également aux organisations de contenir l'impact des incidents de sécurité lorsqu'ils se produisent.
Répondez rapidement aux attaques actives
ZTS garantit également résilience face à des attaques actives. En cas d'incident de sécurité, les réseaux segmentés agissent comme des compartiments virtuels, contenant les dommages et empêchant leur propagation incontrôlable. Ce mécanisme de confinement est particulièrement important dans les entreprises interconnectées d'aujourd'hui, où une seule violation peut avoir des effets en cascade sur l'ensemble d'un réseau, voire sur plusieurs organisations.
En limitant le rayon d'action des failles potentielles et en empêchant les mouvements latéraux, ZTS permet aux entreprises de minimiser l'impact des incidents de sécurité et de maintenir la continuité opérationnelle.
Nous contacter pour découvrir comment la plateforme de segmentation Illumio Zero Trust prépare votre organisation à se protéger de manière proactive et réactive contre la prochaine cyberattaque potentielle.
.webp)
